Geschrieben am 30.09.2024 von:
Wir bei MORGENSTERN möchten, dass sich jede und jeder durch unsere Texte angesprochen fühlt. Aus Gründen der besseren Lesbarkeit verzichten wir in diesem Text jedoch auf das Gendern.
Im betrieblichen Gesundheitsmanagement stellen sich zahlreiche Fragen rund um den Datenschutz. Schließlich werden dabei Gesundheitsdaten verarbeitet, bei denen besondere Vorsicht und Sorgfalt geboten ist. Doch was bedeutet betriebliches Gesundheitsmanagement eigentlich, warum ist Datenschutz dabei so wichtig und wie wird der Datenschutz sichergestellt? Darum geht es in folgendem Beitrag.
Was bedeutet betriebliches Gesundheitsmanagement?
Das Betriebliche Gesundheitsmanagement (BGM) umfasst den Arbeits- und Gesundheitsschutz, das betriebliche Eingliederungsmanagement (BEM) und die betriebliche Gesundheitsförderung. Arbeits- und Gesundheitsschutz sind für Arbeitgeber und Arbeitnehmer gesetzlich vorgeschrieben. Auch das Eingliederungsmanagement ist für den Arbeitgeber gesetzliche Pflicht, die Teilnahme durch den Arbeitnehmer allerdings freiwillig. Maßnahmen im Rahmen der Gesundheitsförderung erfolgen sowohl von Arbeitgeber als auch von Arbeitnehmer auf freiwilliger Basis.
Warum ist Datenschutz dabei so wichtig?
Gesundheitsdaten nach Art. 4 Nr. 15 DS-GVO zählen zu den sogenannten besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO. Ihre Verarbeitung ist mit erheblichen Risiken für die Grundrechte und Grundfreiheiten der betroffenen Person verbunden – schließlich kann ihre Offenlegung gravierende Folgen haben, insbesondere im Arbeitsverhältnis. Daher gelten besondere Voraussetzungen für die Verarbeitung von Gesundheitsdaten im Beschäftigungskontext. Diese müssen beim betrieblichen Gesundheitsmanagement immer mitgedacht und mitberücksichtigt werden!
Wie wird der Datenschutz im BGM sichergestellt?
Grundsätzlich muss zwischen Arbeits- und Gesundheitsschutz, dem betrieblichen Eingliederungsmanagement und der betrieblichen Gesundheitsförderung unterschieden werden. Denn damit gehen unterschiedliche Rechtsgrundlagen und Voraussetzungen für die Verarbeitung der personenbezogenen Daten einher. Die Verarbeitungstätigkeiten sind im Verzeichnis von Verarbeitungstätigkeiten (VVT, Art. 30 DS-GVO) zu dokumentieren (Beispiel: Durchführung des betrieblichen Eingliederungsmanagements). Sobald Gesundheitsdaten in gewissem Umfang systematisch verarbeitet werden, ist vorab eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO erforderlich. Es sind Maßnahmen zur Risikominimierung zu treffen und die datenschutzrechtlichen Grundsätze nach Art. 5 DS-GVO einzuhalten (zum Beispiel Integrität und Vertraulichkeit). Bereits bei der Erhebung personenbezogener Daten muss der Arbeitgeber als Verantwortlicher dem Arbeitnehmer bestimmte Informationen zum Datenschutz bereitstellen (Art. 13 DS-GVO). Nimmt er Dienstleister im Rahmen des betrieblichen Gesundheitsmanagements in Anspruch (zum Beispiel Anbieter für Gesundheitskurse), muss er außerdem den Datenschutz in der Zusammenarbeit sicherstellen.
Du hast Fragen dazu oder möchtest wissen, wie du das betriebliche Gesundheitsmanagement in deiner Organisation datenschutzkonform gestaltest? Dann sprich uns an, wir beraten dich gerne: contact@morgenstern-legal.com.